業務に利用するシステムやアプリケーション、クラウドサービスの数が増加しつつあります。
その分、従業員一人当たりが管理しなければならないID/パスワードの数が増えることで、個々の従業員がログイン情報を管理する負担も増えますが、情報システム部門などの管理者側もユーザー部門のID/パスワードを把握し管理するのが大変になります。
また、それだけ情報セキュリティ対策を講じなければならない範囲も広がります。
そこで注目されているのがIDaaSです。
本コラムでは、IDaaSの主な機能や導入するメリット・デメリット、IDaaSの製品比較などをご紹介いたします。
IDaaSとは
IDaaSとは、「Identity as a Service」の頭文字を取ったもので、IDやパスワードをユーザー情報とともに一元的に管理できるサービスのことです。読み方は「アイダース」です。
管理者は、自社の従業員が使用する複数のシステムやサービスのID/パスワードをIDaaSで一元管理することで、IDのライフサイクル管理がしやすくなり、業務効率化につながります。
ユーザー(従業員)にとっても、一組のID/パスワードで業務に使用するすべてのシステムにログインできるシングルサインオン(SSO)機能が利用できるようになり、利便性が向上します。
また、多要素認証などセキュリティを強化できる機能も搭載されているため、よりセキュアにID管理が行えるようになります。
IDaaSのメリットについては、「IDaaSのメリット・デメリット」で詳しくご紹介いたします。
IDaaSが重要な理由
従来は、企業が利用するシステムはオンプレミス環境だけで、ユーザーが使用する端末もデスクトップパソコンが中心でした。このため、ユーザーが管理しなければならないID/パスワードも少なく、管理者側のID管理にかかる負担も大きくありませんでした。
しかし、現在では、使用するシステムやアプリケーションの数は増加し、オンプレミス環境ばかりでなく、社外ネットワークにアクセスしてクラウドサービスが業務に利用されるようになりました。
また、端末もノートパソコンやタブレット、スマートフォンなど、数や種類が増え、テレワークの浸透もあり、社外から社内ネットワークにアクセスしたり、さらに社外のクラウドサービスを利用するなど、ネットワークの利用の仕方も変化してきました。
こうした背景から、
・数の増えたIDの効率的で安全な管理
・「社内ネットワークと社外ネットワークの境界を守る」という境界型セキュリティの考え方から、すべてのユーザーとアクセスを疑うゼロトラストセキュリティの考え方への移行
・複数のシステムへログインする煩雑さの解消 などの課題が生まれました。
そして、これらを解決してくれるIDaaSの重要性が増しているのです。
IDaaSの主な機能
IDaaSには、主に「ID認証機能」「ID管理・連携」「シングルサインオン(SSO)」「アクセスコントロール」「ログ管理」の5つの機能があります。
ID認証機能
ID認証機能とは、あらかじめ登録されているID/パスワードを元に、アクセスしようとしているシステムやサービスに対して許可されたユーザーであるか、正しい認証情報であるかをチェックした上で認証を許可する機能です。
ID/パスワードのほかに指紋認証を求めるなど複数の要素で認証する多要素認証の機能を搭載したIDaaSも多いです。
ID管理・連携
ID管理・連携とは、ユーザーの氏名や所属部門などのユーザー情報と社員番号などのIDを紐づけて、退職や異動などの際に管理者が一括で管理できる機能と、そのIDに各ユーザーが利用する複数のシステム、サービスのログイン情報(ID/パスワード)を紐づける連携(プロビジョニング)機能のことです。
主に管理者側が使う機能で、ユーザー情報、ID、ログイン情報を一元管理できるため、業務効率化につながります。
シングルサインオン(SSO)
シングルサインオン(SSO)とは、一度のログインで、業務に使用するすべてのシステムやサービスにログインできる機能のことです。一回ずつのログインにかかる時間はそれほどでもなくても、毎日のことなので年間にするとかなりの時間を浪費していることになります。
また、従業員が個々に複数のID/パスワードを管理しなければならないと、従業員の負担が増えるだけでなく、パスワードを忘れて管理者である情報システム部門などへの問い合わせも増えます。
シングルサインオン(SSO)を実現するには、連携できるサービスが多い製品を選ぶ必要があります。ただ、一度のログインですべてのサービスにログインできない場合も、ログインの回数を減らす「Reduced sign-on(リデュースサインオン)」になり、業務効率化に一定の効果が期待できます。
アクセスコントロール
アクセスコントロールとは、アクセスを要求するユーザー(ID)や端末、場所などを制限できる機能のことです。
「IDaaSが重要な理由」でお伝えしたように、ネットワーク利用のあり方が変化してきたため、社内ネットワークからのアクセスは安全であると考える境界型セキュリティから、すべてのアクセス要求やユーザー、端末を疑うというゼロトラストへ、ネットワークセキュリティの主流が変化してきています。ゼロトラストネットワーク実現のためには、アクセスコントロールは必須の機能です。
ログ管理
ログ管理とは、ユーザーがどのシステムやサービスにいつログインしたか、また、管理者がIDaaS上でどのような作業をしたかといった履歴が残り、確認できる機能です。
たとえば、連続して認証の失敗が起きているというログからサイバー攻撃の予兆を掴むなど、セキュリティ対策に活用できます。
IDaaSのメリット・デメリット
IDaaSを導入することで、どんなメリットが得られるのでしょうか?また、逆にデメリットはないのでしょうか?上でご紹介した機能と重複する部分もありますが、ここでIDaaSのメリットとデメリットをまとめてご紹介いたします。
IDaaSのメリット
まずは、メリットから見ていきましょう。
ID管理業務の効率化
従業員が入社してIDを発行してから、異動や昇格に伴う肩書や部署の変更、退職による削除までのIDのライフサイクル管理をIDaaS上で行うことで、利用するシステムやサービスのログイン情報に紐づけながら効率よく行えます。
もし、IDaaSがなければ、ユーザーがパスワード変更を行った際に、都度、台帳の変更が必要ですが、プロビジョニング機能により自動で変更情報を取得できます。
また、ユーザーである従業員がパスワードを忘れてしまいログインできないといった事態も低減されるため、その点でも業務効率化が可能です。
ユーザーの利便性の向上
ユーザーである従業員がシングルサインオン(SSO)を利用できることで、複数システムへログインする手間がなくなり、利便性が向上します。複数のID/パスワードを管理しなければならない煩雑さからも解放されます。
セキュリティの向上
IDのライフサイクル管理がしやすくなることで、従業員の退職に伴うIDの削除のし忘れを低減でき、不正利用などのリスクを防ぐことができます。
また、ワンタイムパスワードや生体認証といった複数の認証を組み合わせて利用できるため、認証の強化が可能です。
ログ機能の活用により、不正アクセスの兆候を把握できる点でも、IDaaSがセキュリティの向上に役立ちます。
IDaaSのデメリット
メリットの多いIDaaSですが、デメリットといえる面もあります。
利用にコストがかかる
IDaaSに限らず、新たなサービスを利用する場合、無料プランなどがあるサービスでない限りは、費用が発生します。IDaaSも、製品によって異なりますが初期費用や月額費用がかかり、この点はデメリットといえます。
ただし、IDaaSは利用期間やユーザー数に応じた料金体系になっているものが多く、利用開始、利用停止がすぐにできるため無駄は出にくいです。
すべてのシステム、サービスと連携できないことがある
IDaaS製品によって連携できるシステムやサービスが異なります。すべてのシステム、サービスと連携できない場合、「IDaaSのメリット」で挙げたメリットも部分的なものとなってしまいます。
たとえば、クラウドサービス以外にオンプレミスのシステムにも対応しているなど、自社で利用しているシステムやサービスを広くカバーできる製品を選ぶ必要があります。
サービスに障害が起きると、復旧するまで業務が止まる恐れがある
IDaaSは、クラウドで提供されるサービスであるため、基盤となるクラウドサービスなどに障害が発生した場合、復旧までIDaaSを利用できなくなります。特に、連携しているシステムやサービスへのログインができなくなり、業務に利用できなくなる可能性があります。
IDaaSの提供者側も、機器の冗長化など障害への対策は講じていますが、万が一に備えて基幹システムなどの重要なシステムはIDaaSを経由しなくても利用できるようにしておくなどの対策が必要です。
IDaaSとCASBの比較
IDaaSと似たものにCASBがあります。ここでは、IDaaSとCASBの違いをご紹介いたします。
CASBとは
CASBとは、Cloud Access Security Brokerの頭文字を取ったもので、読み方は「キャスビー」または「キャズビー」です。IT分野の調査会社である米ガートナー社が2012年に提唱した、クラウドサービスのセキュリティ対策のコンセプトで、企業などの組織がクラウドサービス(SaaS)のユーザーである従業員の使用状況を可視化して一元的にコントロールしようというものです。
このコンセプトを具現化したソリューションもCASBとよばれます。CASBソリューションは、「クラウドサービスの利用状況の可視化」「データセキュリティ」「脅威の検出・防御」「コンプライアンス」の4つの機能を兼ね備えています。
一貫性のあるセキュリティポリシーを適用するため、利用する複数のクラウドサービスとの間にCASBを設置することで一元管理します。
CASBは、クラウドサービスの業務利用で問題となりやすい「シャドーIT」対策として有効です。なお、シャドーITとは、組織がセキュリティポリシーに合致していることを確認して使用を認めたクラウドサービスやデバイス以外に、把握していないところで業務に利用されているITのことです。
IDaaSとCASBを組み合わせてセキュリティ強化
IDaaSとCASBの大きな違いは、IDaaSが製品によって、オンプレミス環境からクラウド(SaaS)まで対応するのに対し、CASBはSaaSのみに特化している点です。
また、IDaaSはシステムやサービスにログインするまでの領域を、CASBはログインした後の領域をそれぞれ担います。CASBでは、ユーザーごとの捜査の権限設定など細かい設定が簡単に行えます。
前項でお伝えしたように、IDaaSとCASBでは、担当領域が異なるため、両方を組み合わせて活用することで、クラウドサービス利用時のセキュリティを強化することができます。
IDaaSとシングルサインオン(SSO)の関係
「IDaaSの主な機能」でお伝えしたように、シングルサインオン(SSO)はIDaaSによく搭載されている機能の一つです。
改めて、シングルサインオン(Single Sign-On/SSO)とは、一組のID/パスワードで、複数のシステムやサービスにログインできる仕組みのことです。
一方、IDaaSはID管理を、より安全に効率よく管理するためのソリューションです。
認証を担うシングルサインオン(SSO)と、ID管理を行うIDaaSは、本来、別のサービスですが、SSOを搭載したIDaaSも多いため、混同されがちです。
IDaaS製品を選ぶ際の3つのポイント
ここでは、IDaaS製品を選ぶ際のポイントを3つご紹介いたします。
安全性
一つ目は安全性です。
ツールの使用における安全性とは、そのツールに不具合などがなく、問題なく使用できるということです。
たとえば、ISOの認証を取得している、サービスの提供機関など過去の実績、提供者が公開しているレポートなどから判断し、安全性の高いIDaaSを選びましょう。
拡張性
ツールにおける拡張性とは、連携できるサービス数が多かったり、利用人数を増やせたり、今後の開発によって機能追加が期待できるといったことで、仕様や開発費などから判断できます。
今後、新たなシステムやサービスを導入したり、新たな用途に利用したりする可能性を踏まえて、拡張性の高いIDaaSを選びましょう。
サポート体制
IDaaSの利用が初めてだったり、社内にID管理に関する知見を持った人材がいなかったりする場合は、サポート体制の充実したIDaaSを選ぶ必要があります。サポートサービスは、製品そのものというより、提供してくれるベンダーの選定ポイントとなります。同じ製品でも契約するベンダーによって受けられるサポートは異なります。
サポートサービスが有料か無料か、対応方法は対面や電話なども用意されているか、海外製品の場合は日本語でのサポートが受けられるか、窓口の受付時間などをチェックし、自社が必要とする内容でサポートが受けられるベンダーと契約しましょう。
IDaaSの製品比較
最後に、これからIDaaS製品の導入を検討しようという企業様に向けて、主要な4つのIDaaS製品をご紹介いたします。
Okta IDaaS
Okta IDaaSは、ID管理の分野の草分け的存在で世界最大手の米Okta社が提供するIDaaSです。ユーザー数は、2019年1月時点で1億人を突破。下でご紹介する3つのIDaaSとは異なり、独立したIDaaSベンダーです。
Okta IDaaSの特徴は、連携できるアプリケーション数が多い点です。シングルサインオン(SSO)で連携できるアプリケーション数は、2020年8月時点で6,500以上にものぼります。連携方法は、テンプレートが用意されているほか、APIによる連携も可能です。
Active Directory(AD)への連携も可能なため、ADからの移行もスムーズです。既存のオンプレミス環境の基幹システムなどと新たに導入したSaaSのIDを一括で管理することができます。
Microsoft Azure AD
Microsoft Azure AD は、MicrosoftのActive Directory(AD)のクラウド版です。Active Directory(AD)がオンプレミス環境での利用を想定して作られたものであるのに対し、Microsoft Azure ADはクラウドサービスのIDを一元管理し、安全な認証を提供してくれます。
ID/パスワード管理やデバイス管理のほか認証(多要素認証)、シングルサインオン(SSO)、データ保護、アクセス制御などの機能があります。もちろん、従来のADとの統合も可能です。
4つのエディションがあり、無料で利用できるフリーエディションもあります。ディレクトリオブジェクト数が50万個まで、シングルサインオン (SSO)はユーザーあたり10アプリまでなどの制限がありますが、まずは無料で使用感を試してみると良いでしょう。
自社でMicrosoft製品を多く利用している企業や、すでにADを導入している企業などにおすすめです。
AWS Single Sign-On
AWS Single Sign-Onは、Amazonが提供するIDaaSで、複数のAWSアカウントと、Slackなどのアプリケーションのアカウントを一元管理できます。ただ、シングルサインオン(SSO)利用のためには、Microsoftの Active Directory(AD)が必要になります。
AWSは、ログイン時にワンタイムパスワードの入力が必要なため、一日のうちでテスト環境と本番環境、開発環境にそれぞれのID/パスワードで何度もログインするようなメンバーがいるような場合、AWS Single Sign-Onで作業効率が大きく向上するでしょう。
AWSを利用しており、マルチアカウントを運用している従業員が多い企業などにおすすめです。
Google Cloud Identity
Google Cloud Identityは、Googleが提供するIDaaSで、2つのエディションがあり、無料で使えるフリーエディションもあります。フリーエディションは、作成できるユーザー数が50まで、利用できるサポートはコミュニティのみなどの制限があります。
ID管理や認証のほか、モバイル端末の管理ができる機能が充実しており、端末の紛失・盗難時にリモートでデータを削除したり、BYODの端末のセキュリティを管理できたりします。
Google Workspaceを導入している企業や業務にモバイル端末を利用している企業などにおすすめです。
まとめ
IDaaSについて、概要や特長、機能などをまとめてご紹介しました。
業務に利用されるデバイスやシステム、サービスの種類・数が増加している現在、ID管理やアクセス制御などを一元管理でき、安全な認証も実現してくれるIDaaSへの期待が高まっています。
ID管理に課題を感じていらっしゃる方は、この機会にIDaaSの導入を検討されてみてはいかがでしょうか。
ユニリタでは、IT部門の皆様の生産性・セキュリティ性を向上する機能を取り揃えたIDaaS「Digital Workforce」を提供しております。
新里 亮太 (しんざと りょうた)
クラウドサービス事業本部
ITマネジメントイノベーション部
サービスマーケティンググループ リーダ 兼
DXアクセラレーション部
働き方改革基盤「Digital Workforce 」のセールス・プロモーション活動で培った経験をもとに、 企業の生産性向上・セキュリティ対策について情報発信しています。
【登壇実績】
・日経産業新聞フォーラム
「デジタルワークプレイスで実現する生産性と従業員満足度の向上」
・ ITトレンドEXPO 2021 summer
「テレワークを支えるIT基盤 ~ポータル、SSO、ID管理でテレワーク推進〜」
利用継続率:96.9%!クラウドと社内システムをシームレスにつなぐ
Digital Workforceの特徴をご紹介します。
ユーザの96.9%が利用を継続、累計ユーザ数は
25万人を突破しました
2万人を超えるグループ全体の情報基盤として活用する「Digital Workforce」
4社合併によって急務となったコミュニケーション基盤の統合を実現
ポータルとシングルサインオンで業務効率が飛躍的に向上!